近期飞牛NAS大规模入侵事件引发关注,许多用户的设备被黑客控制,成为攻击他人的“肉鸡”。通过一份真实的网络抓包数据,可以清晰还原攻击者如何利用漏洞穿透内网,操控设备对外发起DDoS攻击的全过程。这为理解事件全貌和采取防御措施提供了直接的技术参考。
智能速览
攻击者利用NAT会话穿透技术,精准控制内网设备。
被入侵的飞牛NAS被用作“肉鸡”,对外发起DDoS攻击。
抓包分析显示,单台设备一秒可发出超过13000个攻击包。
此次攻击是通过外部指令触发,而非被动扫描端口。
官方已发布新版固件,建议用户立即更新或重装系统。
精华内容
攻击的具体流程是怎样的?通过对抓包文件的逐帧分析,可以清晰地看到攻击者与被控设备之间的“秘密对话”,以及攻击指令是如何被触发和执行的。
攻击前的联络
分析抓包数据发现,在攻击发起前,内网的飞牛NAS(IP为192.168.31.10)曾主动向一个外部公网IP(45.95.212…)发起过一次TCP连接,源端口为39078。这次主动连接是后续攻击的关键伏笔,因为它在网关设备上创建了一条NAT会话记录。由于是从内到外的主动访问,无需进行端口映射,但这为外部攻击者后续的“回访”打开了通道。
指令的下达
在NAS主动连接6秒钟后,那个外部公网IP便直接向NAS的39078端口发回了一个带有Payload的TCP PSH数据包。这条数据包成功穿透了NAT,因为此时网关的会话缓存尚未过期。这个包被解码为一条触发指令,通知NAS内部的入侵程序可以开始行动。NAS收到指令后,立即回复了一个TCP ACK包,表示确认收到。
发起DDoS攻击
确认指令后,飞牛NAS立刻变身为攻击工具,开始向一个目标IP地址(推测为某网站服务器)的80端口发起猛烈的攻击。攻击流量主要为大量的TCP ACK重传包。数据显示,在攻击高峰期,仅一台NAS在一秒钟内就向目标发出了超过13000个TCP数据包,其攻击强度之大可见一斑。
两种攻击对比
作者此前遭遇的攻击是针对其开放公网端口的TCP SYN洪水攻击,目的是耗尽其宽带的连接数。而此次飞牛NAS事件是设备被入侵后,被控制去攻击第三方服务器,用户设备本身成为了“肉鸡”。前者是直连攻击,后者是借刀杀人,性质和危害范围完全不同。
此次抓包分析清晰地揭示了飞牛NAS被入侵后成为“肉鸡”的技术细节,再次敲响了网络设备安全的警钟。对于承载重要数据的NAS,其外网访问策略值得每一位用户重新审视。除了被动更新,我们还能如何构建更主动的安全防线?
关键评论
有网友猜测,这次大规模攻击可能是竞争对手的商业行为。
用户最关心的是,除了被当作肉鸡,是否存在个人数据泄露的风险。
有技术网友指出,飞牛系统存在路径穿越和命令执行等高危漏洞。
根本建议是不要随意做公网端口映射,NAT本身就是一道重要的防线。
部分用户庆幸设备仅被用于攻击,存储的生产数据未受影响或被勒索。
值友3890857608
校验提示文案
泥鳅不吃泥
校验提示文案
泥鳅不吃泥
校验提示文案
值友3890857608
校验提示文案